本章节为您介绍网关服务管理的基本操作。 网关服务管理是用于维护网关服务，提供开通网关服务、删除、配置、查询详情等功能。 新增网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 参数 参数说明 服务名称 自定义新增的网关服务名称，完成创建后不可修改。 服务类型 选择新增的服务类型。 服务端口 选择新增的服务端口，完成创建后不可修改。 端口选择范围为：1844418454。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 配置网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，选择需要配置的网关服务，单击操作列的“配置”。 3. 在弹出的“配置网关服务”窗口中，配置相关参数。 参数 参数说明 服务名称 不可修改，服务名称是您创建时填写的。 服务类型 选择服务类型。 服务端口 不可修改。 SSL类型 选择需要配置的SSL类型。支持单向认证、双向认证。 协议类型 选择网关服务的协议类型。支持国际协议、国密协议、国际+国密协议。 SSL协议 选择网关服务的SSL协议，目前支持选择：SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、HTTP2。 算法类型 选择“默认算法”或“自定义算法”。 SSL算法 选择自定义算法时可选择，根据您业务的需求选择SSL算法。 负载策略 选择网关服务的负载策略。 服务器组 选择服务器组。 证书 选择网关服务的证书。 4. 配置完成后，单击“确定”即可完成配置。

2、目标库用户权限检查 失败原因 处理建议 :: 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限、readWriteAnyDatabase权限、clusterMonitor权限。 连接到DDS/MongoDB副本集目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"}, {role:"readWriteAnyDatabase",db:"admin"},{role:"clusterMonitor",db:"admin"}]) 连接目标库的用户需要具备admin库的dbAdminAnyDatabase权限，admin库的readWriteAnyDatabase权限、clusterManager权限。 连接到mongos目标数据库，使用超级用户或具有适当权限的用户执行以下命令，参考： db.grantRolesToUser("用户名",[{role:"dbAdminAnyDatabase",db:"admin"},{role:"readWriteAnyDatabase",db:"admin"},{role:"clusterManager",db:"admin"}]) 网络情况检查 1、源库连通性检查 失败原因 处理建议 :: 源数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 源数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 源数据库迁移账号登录权限不足。 登录源库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 2、目标库连通性检查 失败原因 处理建议 :: 目标数据库账号或密码不正确。 输入正确的数据库账号和密码后重新执行预检查。 目标数据库所在网络或服务器设置了防火墙。 查看数据库所在的网络防火墙是否限制了DTS的IP地址段，如果有，关闭防火墙或者将DTS的IP地址加入防火墙白名单中。 目标库迁移账号登录权限不足。 登录目标库，为迁移账号添加相应的远程访问权限。 网络互通问题。 联系数据库所在机器管理人员和DTS部署机器管理人员排查问题。 数据库对象检查

本小节介绍云堡垒机术语解释。 资产数 资产数是指云堡垒机管理的云服务器上运行的资源数，同一台云服务器上对应有多个需要运维的协议、应用等资源。 云堡垒机实例 一个云堡垒机实例代表了一个独立运行的云堡垒机系统。 主备实例 在单机实例基础上增强高可用性。主备实例具有以下特征： 实例包含一个主节点和一个备节点，支持数据持久化。 主备节点通过数据同步的方式保持一致。 备节点对用户不可见，不支持客户端直接读写数据。 当主节点故障后，备节点自动升级为主节点，无需用户操作。 区域 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。 一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。

本文帮助您快速熟悉创建不同账户下的对等连接的操作方法。 操作场景 不同VPC之间网络不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建不同账户下的VPC对等连接，即需要连通的两个VPC位于不同账户下。 本文档以在账户A下的VPCA和账户B的VPCB之间创建对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图不同账户下的对等连接组网示例 VPC支持本账户与其他账户内相同区域的VPC创建对等连接。与其他账户内相同区域的VPC创建对等连接时，需要对端账户接受对等连接请求，才能建立有效对等连接。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 创建不同账户下的对等连接时： 创建不同账户下的VPC对等连接时，如果在账号A下发起创建对等连接请求，需要账号B接受该请求才可以，如果账号B拒绝，则该对等连接创建失败。 为了确保网络安全，请您不要接受来自未知账号的对等连接申请。 前提条件 已在不同账号下，分别创建两个VPC，并且VPC位于同一个区域。

本文帮助您了解无需访问公网的弹性云主机VPC配置方式。 当弹性云主机无需访问公网时，例如用于搭建网站的数据库节点或服务器节点的弹性服务器无需连接公网，虚拟私有云的配置流程如下图所示。 图 配置网络功能 表 配置流程说明 任务 说明 创建虚拟私有云基本信息和默认子网 必选任务。创建虚拟私有云的基本信息及默认子网后还需要根据您的实际网络需求， 继续创建虚拟私有云中的其他网络资源。 为虚拟私有云创建新的子网 可选任务。当默认子网不能满足您的需求时，您可以创建新的子网。 此处创建的子网就是创建弹性云主机时添加的网卡。 创建安全组 必选任务。您可以创建安全组，将虚拟私有云中的弹性云主机划分成不同的安全域， 以提升弹性云主机访问的安全性。创建安全组成功后，具备默认的访问规则。 默认规则是在出方向上的数据报文全部放行，安全组内的弹性云主机无需添加规则即可互相访问。 当默认访问规则可以满足需求时，则无需单独再为该安全组添加安全组规则。 添加安全组规则 可选任务。安全组创建成功后，具备默认的访问规则。默认规则是在出方向上的数据报文全部放行， 安全组内的弹性云主机无需添加规则即可互相访问。当默认访问规则可以满足需求时， 则无需单独再为该安全组添加安全组规则。

本文帮助您快速熟悉创建同一账户下的对等连接的操作方法。 操作场景 不同VPC之间网络默认不通，您可以通过对等连接连通同一个区域下的VPC。本节指导用户创建相同账户下的VPC对等连接，即需要连通的两个VPC位于同一个账户下。 以在账户A下，创建VPCA和VPCB之间的对等连接为例，实现业务服务器ECSA01和数据库服务器RDSB01之间的通信。 图相同账户下的对等连接组网示例 创建对等连接首先要向需要建立对等连接的VPC发送请求，您可以和自己账户内相同区域的其他VPC申请对等连接，同账户内同区域的VPC创建对等连接，默认自动接受。 约束与限制 对等连接是建立在两个VPC之间的网络连接，两个VPC之间只能建立一个对等连接。 对等连接仅可以连通同区域的VPC，不同区域的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 前提条件 已在同一个账号下创建两个VPC，并且VPC位于同一个区域。 步骤一：创建VPC对等连接 1. 登录管理控制台，选择目标区域。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“对等连接”。 4. 在界面右侧详情区域单击“创建对等连接”。 5. 根据界面提示配置参数，其中“账户”选择“当前账户”，相关参数如下表所示。

本文主要介绍云日志服务中查询分析Nginx访问日志。 云日志服务LTS支持采集Nginx日志，并进行多维度查询。本文介绍分析网站访问情况、异常和重要场景告警的分析案例。 背景信息 Nginx是一款主流的网站服务器，当您选用Nginx搭建网站时，Nginx日志是运维网站的重要信息。 云日志服务支持通过数据接入向导一站式采集Nginx日志，您还可以使用云日志服务的查询分析语句，分析网站的延时情况，及时调优网站。针对性能问题、服务器错误、流量变化等重要场景，您还可以设置告警，当满足告警条件时给您发送告警信息。 前提条件 根据配置向导，创建对应的日志单元、安装采集器、配置采集规则，生成日志字段。 可以使用正则表达式来分割这个Nginx访问日志行。用户可以输入日志样例预览匹配结果，并为匹配结果进行字段命名 操作步骤 完成上述步骤后，采集器将开始在指定的主机组中进行日志采集，并将采集的日志信息展示在控制台上。用户点击日志检索之后再点击检索分析，便可以在控制台看到检索到的日志信息。在展示页面上，用户可以根据自己的需求选择不同的展示方式。如对日志进行展开，JSON格式化等操作 样例1：查询IP 192.168.1.100 发过来的请求日志。 样例2：查询IP 192.168.1.100 发过来的GET请求日志。

本页介绍了文档数据库服务实例的连接数满导致实例连接失败，如何处理。 问题现象 Python连接文档数据库服务时的错误 ： pymongo.errors.ServerSelectionTimeoutError：表示Python的MongoDB驱动（pymongo）无法选择可用的文档数据库服务服务器，连接超时。 Java连接文档数据库服务时的错误 ： com.mongodb.MongoTimeoutException：表示Java的MongoDB驱动无法在规定的时间内连接到文档数据库服务实例，连接超时。 可能原因 分片集群（Sharded Cluster）： 读写请求过多，超过了分片集群的连接数上限。 部分分片服务器负载过高，无法处理更多的连接请求。 分片键设计不合理，导致部分分片集群负载不均衡。 副本集（Replica Set）： 读写请求过多，超过了副本集的连接数上限。 副本集中的主节点（Primary）负载过高，无法处理更多的连接请求。 单节点实例： 读写请求过多，超过了单节点实例的连接数上限。 处理思路 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 排查“net.maxIncomingConnections”参数的值及实例规格，修改参数值或对数据库进行规格扩容。 通过文档数据库服务控制台，基本信息页查看监控信息、CPU、内存、磁盘、连接数等指标，通过控制台的告警中心设置告警策略，出现告警时可以提前识别风险。 处理方法 优化实例连接，释放不必要的连接。 您可以通过重启实例来临时释放所有的连接。 您可以查询节点当前连接数，以及当前连接来源，分析各个终端和文档数据库服务实例分别建立了多少连接，并作出相应调整。 javascript db.serverStatus().connections { "current" : 7, "available" : 398, "totalCreated" : 818364 }

本文介绍使用RedisShake工具离线迁移其他云厂商Redis Cluster集群。 RedisShake基本介绍 RedisShake是一个开源的Redis迁移工具，可以用于在线迁移和离线迁移（通过备份文件导入）。 目前 RedisShake 有三种迁移模式：PSync、RDB 和 SCAN，分别对应 syncreader、rdbreader 和 scanreader。主要有以下三种数据迁移场景： 1. 对于从备份rdb中恢复数据的场景，可以使用 rdbreader。 2. 对于数据迁移场景，优先选择 syncreader。 3. 对于全量复制的场景下或者自研集群不支持 PSync 协议情况下，可以使用 scanreader。 当你需要迁移部署在其他云厂商上的 Redis 集群数据时，如果无法进行在线迁移，你可以选择离线迁移的方式。 离线迁移（备份文件导入） 与在线迁移相比，离线迁移适宜于源实例与目标实例的网络无法连通的场景。 1、在DCS控制台创建缓存实例。 注意新创建的Redis实例容量不能小于源端Redis实例的实际使用容量。 2、准备一台云服务器，并安装RedisShake。 RedisShake既能访问源端缓存实例，也能访问目标端DCS 缓存，需要绑定弹性公网IP 3、导出RDB文件。 使用如下命令导出RDB文件： ./rediscli h {redisaddress} p {redisport} a {password} rdb {output.rdb} 执行命令后回显"Transfer finished with success."，表示文件导出成功。 4、将导出的RDB文件（含多个）上传到云服务器上。 5、编辑RedisShake配置文件。 编辑redisshake工具配置文件shake.toml，补充迁移双方信息，及迁移模式。 [rdbreader] filepath "/tmp/dump.rdb" [rediswriter] cluster false

操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧列表中选择节点管理，单击节点后的“更多 > 移除”。 图 移除节点 您还可以选中多个节点一起移除，如下图所示。 图 一次移除多个节点 步骤 3 在弹出的“移除节点”配置重装操作系统需要的登录信息，单击“是”，等待完成节点移除。 移除节点后，原有节点上的工作负载实例会自动迁移至其他可用节点。 重装操作系统失败如何处理 移除节点重装操作系统可能会失败，如果碰到这种情况，您可以执行如下步骤重装操作系统并清理节点上的CCE组件。 步骤 1 登录服务器的管理控制台，完成操作系统的重装，详细步骤请参见切换操作系统。 步骤 2 登录服务器，执行如下命令完成CCE组件和LVM数据的清理。 将如下脚本写入clean.sh文件。 lsblk vgs noheadings awk '{print $1}' xargs vgremove f pvs noheadings awk '{print $1}' xargs pvremove f lvs noheadings awk '{print $1}' xargs i lvremove f select {} function initdatadisk() { alldevices$(lsblk o KNAME,TYPE grep disk grep v nvme awk '{print $1}' awk '{ print "/dev/"$1}') for device in ${alldevices[@]}; do isRootDisk​(lsblk o KNAME,MOUNTPOINT (lsblk−oKNAME,MOUNTPOINT​device 2>/dev/null grep E '[[:space:]]/$' wc l ) if [[ ${isRootDisk} ! 0 ]]; then continue fi dd if/dev/urandom of${device} bs512 count64 return done exit 1 } initdatadisk lsblk 执行如下命令。 bash clean.sh

此小节介绍数据库审计的产品术语。 Agent 本文中所述的Agent指的是审计代理插件，是安装在数据库系统或者业务系统上的插件，其功能是捕获访问数据库系统的数据包，并将数据包发送至数据库审计。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP是简单网络管理协议（Simple Network Management Protocol）的简称，是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL是结构化查询语言（Structured Query Language）的简称，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。 数据库 数据库（Database）是用于存放数据的仓库，按照一定的数据结构（即数据的组织形式或数据之间的联系）来组织、存储，用户可以通过数据库提供的多种方法来管理数据库中的数据。 规则 本文中所述的规则是指根据一些特征（如客户端、服务端、SQL语句）定义的危险行为（安全规则）及可以信任的行为（过滤规则）。当系统审计到对数据库的操作匹配安全规则时会触发告警，对于匹配过滤规则的行为则不进行审计。

挂载的操作步骤 1. 发现存储卷对应Target所在的服务器IP和Port。如果是集群版的卷，需要输入主备两个Target所在服务器的地址。 iscsiadm m discovery t st p SERVERIP 若您的 iSCSI Target没有开启CHAP认证，请直接执行“登录Target”。集群版的卷需要登录两个Target。 2. 开启CHAP认证 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.authmethod valueCHAP 3. 输入CHAP用户名 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.username valueUSER 4. 输入CHAP密码 iscsiadm m node T iSCSITARGETIQN o update name node.session.auth.password valuePASSWORD 5. 登录 Target iscsiadm m node T iSCSITARGETIQN p SERVERIP l 6. 显示相关信息 单机版 iscsiadm m session 显示会话情况，查看当前iSCSI连接 lsblk 查看iSCSI磁盘 集群版 lsscsi 查看SCSI设备 multipath ll 查看MPIO设备 7. 格式化 iSCSI 磁盘 注意 如果卷容量小于等于2TB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TB，只能使用GPT分区。 mkfs t ext4 /dev/mapper/mpatha1 格式化成ext4 mkdir DIRECTORYNAMEORPATH 创建目录 mount /dev/mapper/mpatha1 DIRECTORYNAMEORPATH 将mpatha1挂载到目录 8. 如果用户重启客户端，或者需要断开连接、删除磁盘等，需要先执行以下命令，请严格按照规范操作，以防引起文件损坏。 umount DIRECTORYNAMEORPATH iscsiadm m node T iSCSITARGETIQN p SERVERIP u

操作场景 如果想要使用内网域名解析功能，您需要先创建内网域名。 前提条件 已经创建VPC。 已经在VPC内创建弹性云主机，并为其规划内网域名“example.com”。 操作步骤 1. 登录管理控制台，选择目标区域。 2. 在服务列表中，选择“网络 > 内网DNS”。 3. 在左侧导航栏，选择“内网域名”。 4. 在页面右上角，单击“创建内网域名”。 5. 在“创建内网域名”页面中，输入域名及相关参数。 6. 参数说明如下表所示。 表创建内网域名参数说明 参数 参数说明 取值样例 域名 域名。 可以自定义，支持创建顶级域，但需符合域名命名规范。 example.com VPC 内网域名要关联的VPC。 邮箱 可选参数。 管理该内网域名的管理员邮箱。建议用户使用保留邮箱“HOSTMASTER@域名”作为此管理员邮箱。 更多关于Email的信息，请参见。 HOSTMASTER@example.com 标签 可选参数。 域名的标识，包括键和值，每个域名可以创建10个标签。 examplekey1 examplevalue1 描述 可选参数。 域名的描述信息。 长度不超过255个字符。 内网域名。 7. 单击“确定”。 8. 返回“内网域名”页面。 创建完成后，您可以在“内网域名”页面查看新创建的域名信息。 9. 在“内网域名”页面的域名列表中，单击域名的名称，进入“解析记录”页面。 在“解析记录”页面，可以通过“添加记录集”为域名配置解析记录。 说明 单击域名名称，可以看到系统已经为您创建了SOA类型和NS类型的记录集。其中： SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。

本文介绍推流失败可能的原因和解决方案。 推流失败可能有多种原因导致，以下是一些常见的原因： 推流地址配置错误：请您确保提供并配置正确的推流地址。检查推流地址的协议、域名、端口和路径是否正确。 网络连接问题：推流过程中可能会出现网络连接问题，例如网络延迟、丢包等。请确保您的网络连接稳定，并尝试使用其他网络环境进行重推。 推流设备或软件问题：推流设备或软件可能存在问题，例如摄像头故障、编码设置错误、推流软件版本过旧等。请检查设备和软件的设置，并确保它们能够正常工作。 直播配置问题：直播配置可能存在问题，例如域名解析错误。请检查直播配置、域名解析是否正确，或通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。 直播服务异常：直播的流媒体服务器可能存在问题，例如服务器故障、负载过高等。请通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。 流在禁推列表中：如果流在禁推列表中，则也会导致推流失败。 鉴权失败：如果配置了鉴权逻辑，请确认是否由于鉴权不通过导致的推流失败。 如果您遇到推流失败的问题，建议您逐步排查以上可能的原因。如果问题依然无法解决，建议通过提交工单联系天翼云客服，他们可以帮助您进一步诊断和解决问题。

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本文主要介绍修改DNS与添加安全组（Linux） 操作场景 本章节指导用户为Linux系统的ECS或BMS添加域名解析并添加安全组，防止下载Agent安装包与采集监控数据时出现异常。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 修改ECS的DNS配置有两种方式：命令行和管理控制台。您可以根据自己的使用习惯选择其中一种方式进行配置。 注：添加DNS服务解析和配置安全组针对的是主网卡。 修改DNS（命令行方式） 本节介绍使用命令行方式添加域名解析地址至resolv.conf文件的操作步骤和方法。 如果想要使用管理控制台方式，请参考修改DNS（管理控制台方式）。 1. 使用root帐号，登录ECS。 2. 输入“vi /etc/resolv.conf”，打开文件。 3. 在文件中添加“nameserver X.X.X.X ”，输入：wq，按“Enter”保存并退出。 修改DNS（管理控制台方式） 本节介绍登录管理控制台后修改ECS的DNS配置的操作步骤和方法。本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 1. 在管理控制台左上角选择区域和项目。 2. 选择“服务列表 > 计算 > 弹性云主机”。 弹性云主机列表中，单击ECS名称查看详情。 3. 在“虚拟私有云”项单击虚拟私有云名称，进入“虚拟私有云”界面。 4. 在“VPC名称/ID”列表中，单击“vpc328c”。 5. 在“子网”列表中，单击“subnet328d”所在行“修改”。 弹出“修改子网”对话框，修改“DNS服务器地址1”为正确的DNS服务器IP地址。 注：subnet328d为该ECS的子网。 6. 单击“确定”，保存设置。 注：在控制台修改DNS需重启ECS或BMS后生效。

本小节介绍服务器安全卫士查看白名单方法。 操作步骤 1.单击 按钮，选择“查看白名单”，进入“白名单列表”页面。 新建白名单规则 1.单击“新建规则”按钮，进入新建白名单规则页面。 2.点击“精确搜索”，联动选择检查规则检查类型检查项。 查看受影响对象 查看现有规则影响的对象。 编辑白名单列表 对于已经保存的单条规则，用户可以选择对其进行修改。 删除白名单列表 对于已经保存的单条或者多条规则，用户可以选择对其进行删除。

接口功能介绍 卸载服务器Agent. 接口约束 谨慎操作。 URI POST /v1/host/uninstall 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 agentGuid 是 String agentGuid 112113xxxxx12131121311 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"agentGuid": "112113xxxxx12131121311"}

接口功能介绍 服务器列表保存业务分组 接口约束 无 URI POST /v1/business/group/save 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 否 String 业务分组id，修改时传输 BG0001 parentId 是 String 父业务分组id BG0002 name 是 String 分组名称 必填 BGtest remark 是 String 备注 BGtest 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Boolean 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

接口功能介绍 关闭服务器防护功能 接口约束 需开启防护才能操作。 URI POST /v1/closeStatus 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 agentGuid 是 String agentGuid testagentguid 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"agentGuid": "testagentguid"}

接口功能介绍 更新用户配置 接口约束 签约服务器安全卫士 URI POST /v1/safetyReport/config/update 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 generateType 是 Array of Strings 订阅报表类型列表 DAYREPORT日报 MONTHREPORT月报 WEEKREPORT周报 ["DAYREPORT"] reportSubscribe 否 Array of Strings 报表订阅人id列表 ["CP10001"] 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 0 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

接口功能介绍 服务器详情修改主机显示名称 接口约束 无 URI POST /v1/host/editDisplayName 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 displayName 是 String 实例名称 test agentGuid 是 String agentGuid 11111111 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"displayName": "test", "agentGuid": "11111111"}

源端配置： 数据源类型 选定为SQL Server，可迁移版本范围内的SQL Server数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

源端配置： 数据源类型 选定为PostgreSQL，可迁移版本范围内的PostgreSQL数据库 服务器IP 待迁移源端数据库的连接IP 端口号 待迁移源端数据库的端口 用户名 用于连接待迁移源端数据库的用户名称 密码 用于连接待迁移源端数据库的用户的密码 数据库 要迁移的源端数据库名 模式 源端实际用于迁出数据的模式（schema）名称

相关操作 除了通过IIS实现重定向外，您还可以通过代码实现301重定向，以下为在PHP和Apache下实现301重定向的代码示例： PHP下的301重定向。 Apache服务器实现301重定向。 WWW域名的重定向。参考代码如下： deny from all RewriteEngine on RewriteCond %{HTTPHOST}^(.com)(:80)?[NC] RewriteRule ^(.) order deny,allow

参数 描述 S STATUS 或 status STATUS 告警状态： Unresolved：告警中。 Resolved：已解除。 Expired：已失效。 默认值为Unresolved。 o DIERECTORY 或 out DIERECTORY 导出告警的存放的目录，为绝对路径。默认存放在被请求服务器的HBlock安装目录下，以alarmStatus yyyyMMddHHmmss .csv命名，其中： Status：告警状态。 yyyyMMddHHmmss ：文件生成的时间。

配置会话在开启后，当CPU和内存使用率超过服务器配置时，将自动禁止新增会话。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“会话限制配置”模块的右侧，单击“编辑”，进入“会话限制配置”页面。 4、开启会话限制的开关状态为默认开启，并设置CPU和内存的使用率，当达到设置的使用率，将停止新增会话。 5、单击“确定”，完成配置。

广州12345政府服务热线，业务的核心TeleDB服务器部署内网，敏感数据部署在这个核心TeleDB实例中，并涉及到130个部门，8千余个分类，4万余条知识点。该系统要求系统具备高安全性，目前存储了6000+加密表，同时要求通信链路加密，数据脱敏，访问白名单，TeleDB的多级安全策略在该业务系统有了完美的落地。该系统的核心系统结构如下：

配置说明 配置项 说明 规则名称 设置规则名称 防护模式 设置该规则的防护模式，支持设置关闭、开启。 规则描述 设置规则描述 防护范围 设置需要防护的请求范围，可选择粒度有URI、PATH，支持输入字符串，比如PATH包含字符串/ 允许HTTP请求方法 1、设置允许的请求方法（PUT、DELETE、POST、GET、其它），支持多选 2、非法处理动作：即当请求非允许的请求方法时，将对请求进行处理，支持配置关闭、告警、拦截 允许HTTP协议版本 1、设置允许的HTTP协议版本（HTTP/1.1、HTTP/1.0、HTTP/0.9、其它），限制非指定HTTP版本访问源站，保证源站针对性服务，不受黑客攻击 2、非法处理动作：即当请求非允许的HTTP协议版本时，将对请求进行处理，支持配置关闭、告警、拦截 HTTP请求头部缺失 请求缺失对应头部则告警或拦截。针对HTTP请求的头部进行缺失防护，当请求到达服务器时，检测到缺失头部时，进行相应处理动作，处理动作支持配置关闭、告警、拦截 HPP防护 HPP 防护 即 HTTP Parameter Pollution，HTTP 参数污染。在 HTTP 协议中是运行同样名称的参数出现多次，攻击者通过传播参数的时候传输 key 相同而 value 不同的参数，从而达到绕过某些防护与参数校验的后果。它是一种注入型的漏洞，攻击者通过在 HTTP 请求中插入特定的参数来发起攻击 1、合规检测的HPP防护能够及时处理该攻击行为，下拉框为处理动作，支持配置关闭、告警、拦截 2、作用范围支持选择cookie、body、url cookie：cookie字段重复 body：针对xwwwformurlencoded编码格式body进行重复参数检测 url：针对url传输参数重复检测 HTTP头部重复限制 请求对应头部存在重复则告警或拦截 Chunk攻击检测 针对请求体中嵌入HTTP请求攻击，窃取其它客户敏感信息的攻击行为进行告警或拦截 上传合规检测 针对上传表单校验是否满足上传协议规范，不符合则告警或拦截 %00检测 ASCII 0字符会对参数进行截断，造成源站不可预知错误，合规检测将针对此攻击行为进行告警或拦截 URL最大长度 限制请求URI最大长度，不符合的请求将告警或拦截。针对HTTP请求URI长度进行限制，避免大量不合规请求到达源站，占用资源，浪费系统性能 HTTP请求头部限制 针对HTTP请求头部内容进行限制。限制内容包含，请求头部，字段最大个数，请求头部参数值最大长度限制。不符合的请求将告警或拦截。 请求头部参数名最大长度: 限制请求头部参数名最大长度 请求头部参数值最大长度: 限制请求参数值最大长度 请求头部参数最大个数: 限制请求头部最大个数 例外 如果有特殊的业务无法通过合规检测策略，可以进行加白，则请求不会进行合规检测策略校验

接口功能介绍 服务器列表查询配额自动绑定开关 接口约束 无 URI GET /v1/host/queryAutoBindQuota 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 returnObj traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 quotaBindSwitch Boolean 是否自动绑定 true 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {}

接口功能介绍 服务器列表查询资源池列表 接口约束 无 URI GET /v1/host/region 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Array of Objects 返回对象 returnObj traceId String traceId 211111111111111111111 statusCode String 状态码 200成功 200 表 returnObj 参数 参数类型 说明 示例 下级对象 regionId String 区域ID test regionName String 区域名 华东1 azNameSet Array of Strings azName列表 ["testaz"]

接口功能介绍 服务器列表设置配额自动绑定开关 接口约束 无 URI POST /v1/host/autoBindQuota 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 quotaBindSwitch 是 Boolean 是否自动绑定 true 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200 枚举参数 无 请求示例 请求url 无 请求头header {"ContentType": "application/json"} 请求体body {"quotaBindSwitch": "true"}